Hvordan WindowsHelper beskytter din pc + din telefon, hvilken kryptografi vi bruger, og hvad vi udtrykkeligt ikke forsvarer os imod. Sidst opdateret: 2026-04-25.
E-mail support@windowshelper.app med emne [security]. Undlad venligst at åbne offentlige GitHub-problemer - giv os et vindue til at sende en rettelse før offentliggørelse.
Parringskoden er delt hemmelighed hver anden kryptooperation stammer fra. Den fulde livscyklus:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; når den er parret, forbliver koden udelukkende i hukommelsen.Hver kommando, der sendes over ledningen, er krypteret med AES-256-GCM, en autentificeret krypteringstilstand.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() på telefon eller RandomNumberGenerator på ledsager.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Hver kommando bærer også en HMAC-signatur, så en telefon, der ikke kender parringskoden, kan ikke injicere kommandoer, selvom den kan skrive til Firestore.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Adskil fra krypteringsnøglen.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Pibene er bogstavelige pibetegn, ikke afgrænsninger - tre sammenkædede strenge.| Trussel | Status | Noter |
|---|---|---|
| Aflytning på det lokale netværk | Afbødet | AES-GCM chiffertekst er uigennemsigtig for MITM-observatører. |
| Aflytning på Firestore-servere | Afbødet | Google sees AESGCM:... blobs, not commands. |
| Angriber, der kan skrive til Firestore, men ikke kender koden | Afbødet | HMAC-verifikation mislykkes; ledsager logger afvisningen + nægter eksekvering. |
| Angriber, der knækkede/phishede parringskoden | Rest | De kan udstede kommandoer, som om de var brugeren. Afhjælpning: Roter koden fra bakkemenuen. |
| Genafspilning af en optaget kommando | Rest | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-tilstand uautoriseret angriber | Afbødet | WebSocket par-håndtryk validerer koden; HMAC + AES gate hver efterfølgende kommando. |
| Kompromitteret telefon med stjålet parringsnøgle | Rest | Kan ikke skelnes fra "brugeren selv." Afhjælpning: hastighedsgrænse (10 cmd/min) + destruktiv kommandobekræftelse kræver klik på pc-siden. |
| Forkert kommando fra telefonappen | Afbødet | Tilladelsesliste på telefonen blokerer ukendte præfikser; companion-side pre-flight blokeringskommandoer rettet mod ikke-eksisterende tjenester. |
| Destruktiv kommando køres ved et uheld | Afbødet | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Hung / runaway PowerShell-proces | Afbødet | Hård 5-minutters timeout dræber hele procestræet. |
| Companion .exe manipulation mellem download og kørsel | Afbødet | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion nedbrudslækkende følsom tilstand | Afbødet | Nedbrudsrapporter + Firestore-fejlskrivninger renses %USERPROFILE% / %MACHINE% / %USER%. |
| Stjålet enhed, vedvarende registreringsdatabasenøgle | Rest | En angriber med disk + login-adgang kunne læse den vedvarende kode. Fremtidig rettelse omslutter det med Windows DPAPI. |
Ting, som WindowsHelper eksplicit gør ikke forsvare mod:
[security].